„LuaDream“ kenkėjiška programa, priskirta „Sandman“ grėsmių veikėjui

Anksčiau nežinomas grėsmių veikėjas Sandmanas buvo susijęs su kibernetinių atakų serija, nukreipta į telekomunikacijų tiekėjus Artimuosiuose Rytuose, Vakarų Europoje ir Pietų Azijos subkontinente. Pažymėtina, kad šie įsilaužimai naudoja Lua programavimo kalbos „LuaJIT“ kompiliatorių, žinomą kaip „LuaJIT“, kad įdiegtų naują implantą, vadinamą „LuaDream“.

Remiantis „SentinelOne“ saugumo tyrinėtojo Aleksandro Milenkoskio, bendradarbiaujant su „QGroup“, atlikta analize, stebimos veiklos pasižymi strateginiu šoniniu judėjimu link konkrečių tikslinių darbo vietų ir minimaliu įsitraukimu. Tai rodo apgalvotą požiūrį, kuriuo siekiama tikslų, tuo pačiu sumažinant aptikimo riziką. „LuaDream“ diegimas rodo gerai įvykdytą, aktyviai vystomą didelės apimties projektą.

Sandman – naujas objektas infosec kraštovaizdyje

Nepaisant kruopštaus tyrimo, nėra žinomos koreliacijos tarp šios kampanijos ir jokio žinomo grėsmės veikėjo ar grupės. Tačiau turimi įrodymai rodo, kad kibernetinio šnipinėjimo priešas teikia pirmenybę telekomunikacijų sektoriui skirtinguose regionuose. Šie išpuoliai iš pradžių buvo aptikti per kelias savaites 2023 m. rugpjūčio mėn.

Milenkoski taip pat paaiškino, kad „LuaDream“ sustojimo grandinė sukurta taip, kad būtų išvengta aptikimo ir trukdoma analizei tiesiogiai įkeliant kenkėjišką programą į atmintį. Tai pasiekiama panaudojus LuaJIT platformą, Lua kompiliatorių, skirtą laiku, todėl sunku aptikti kenkėjišką Lua scenarijaus kodą.

Stygų artefaktų buvimas implanto šaltinio kode, datuojamas 2022 m. birželio 3 d., rodo, kad paruošiamasis LuaDream darbas tęsiasi daugiau nei metus.

Įtariama, kad LuaDream yra naujos kenkėjiškos programos, vadinamos DreamLand, variantas. Saugumo tyrinėtojų teigimu, „DreamLand“ naudoja „Lua“ scenarijų kalbą kartu su savo laiku veikiančiu kompiliatoriumi, kad paleistų kenkėjišką kodą, kurį sunku aptikti.